RPA-incident-robot

サイバー攻撃やシステム障害など、システム運用において事前に備えておかなければならないインシデントは多岐に及びます。
予期せぬタイミングで発生するインシデントが会社や組織に与える影響は計り知れず、運用担当者には迅速で適切な対応が求められ、システムの拡大に伴い、関係者の負担と責任はますます重くなっています。
そのため、インシデントの対応は担当者だけの問題ではなく、全社レベルで正確性と効率化の向上が望まれます。

事前にインシデント対応のマニュアルを準備することは当然ですが、インシデントが発生してしまった時には、この対応手順通りに速やかに適切に実施できることが肝要です。 予期せぬ突発的な発生への対応や、現場担当者のスキルへの依存、操作ミスによる2次災害の防止等、インシデントが発生してしまった場合の対応を適切に実施するためには、憂慮すべき事項が数多く存在します。
このインシデント対応の作業を正確無比なRPAのソフトウェアロボットに任せれば、組織として適切な対応を自動的に行うことができ、かつ現場担当者の負担も大幅に軽減できます。


インシデント発生時の備えは出来ていますか?

 
RPA-security-incident-1

サイバー攻撃などの外部からの侵入や、内部犯行に対するセキュリティ対策を100%万全にすることは困難です。
また、アプリケーションエラーなどに起因するシステム障害をゼロにすることも不可能に近いです。
万が一の事態が発生した際、被害を最小限に抑える為にも、平常時から準備をしておくことがとても重要です。
また、RPA導入ユーザは、ガバナンス強化を目的としてログの統合管理をすることが重要ですが、そのログ管理システム等からアラートが検出された場合、インシデントに対するアクションが必要になります。
こうしたインシデントへの対応は、従来通り運用担当者に任せる方法のに他に、RPAのソフトウェアロボットに自動対処させるという方法があります。


人によるインシデント対応

 
incident-pic1
インシデント発生時には、迅速な報告と、関連部署への周知や連携が必要になりますが、これらはインシデントが起こる前段階の平時における体制整備や教育活動/訓練などが重要です。
事業継続に関わるディザスタリカバリで訓練が必要なのは、ペーパー上で復旧手順を用意できても、スキル不足を補うためには実際に経験を積むことが最も有効だからです。 但し、昨今のサイバー攻撃の犯罪は巧妙化しており、セキュリティ対応部門の作業負荷も増大し、インシデントに対応するための運用担当者のスキル不足も深刻な課題となっています。
この部分は、セキュリティ教育や訓練サービスなどBCP/DR対策のサービスを利用する方法もあります。


incident-pic2

インシデント対応のシナリオをもとに訓練を実施することで、リカバリプロセスの修正すべき箇所が分かるだけでなく、自動化できそうなタスクがあるかどうかを洗い出すことができます。
そのためにも、インシデントの訓練後には、現在のリカバリ手順が適正かどうか実施内容のレビューを行い、常に運用改善していくことが求められます。
また、インシデントが発生してからの対処だけではなく、SIEM(Security Information and Event Management)などと連動し、予兆保全によってトラブルを未然に防ぐための対処まで訓練できれば、障害に対する影響を最小限に抑えることができます。


ソフトウェアロボットによる対応

 
incident-pic3
インシデント発生時の「システムの処置」は、通常は人間が行いますが、手順書に基づいたオペレーション等については、ソフトウェアロボットの活用が効果的です。
インシデント対応について、人手不足、スキル不足を補うために、訓練によって洗い出された自動化出来る対処のタスクを、ロボットに任せることは有効な手段です。
ロボットは、インシデント発生時に迅速に対処できます。
しかも、あらかじめ指示していた通り正確に手順を実行してくれるので、緊急時にあわててオペレーションミスを起こしてしまうリスクから解放されます。
なにより、夜間であっても、24時間365日休まず働くことができるので、夜間や休日の障害であっても的確に対処が可能になります。


incident-pic4

RPAでは多くのロボットが事務作業の繰り返し等で活躍しますが、このソフトウェアロボットはセキュリティ対策など運用監視でも有効に働きます。ただし、運用方法によっては、エラーハンドリングなどの複雑なロジックを組み入れる必要がある場合も多いので、ROBOWAREのような開発型のRPAツールを使用することをお勧めします。
一般的なRPAツールは、たとえばロボット管理についてのログの収集や分析までは行いますが、ロボットが停止した時の対処まで自動化することは難しいです。
開発型RPAツールを利用して、ロボットの迅速で正確な特長を活かしながら、運用管理のためのソフトウェアロボットを作成することができれば、ロボット管理はもちろん、サイバーセキュリティへの対策や、インフラのハード障害であってもリカバリ処理を自動化出来る場合があります。
これにより、運用担当者の負荷が減るのと、将来のシステムやアプリケーションの増加に柔軟に対応することが可能になります。そして、うまくロボットを利用すれば、システムのダウンタイムを減らし、業務の生産性も向上します。

ソフトウェアロボットの活用イメージ

 
インシデント対応のロボットは、運用管理者が障害時に行っている操作のうち、手順がはっきりしているものの多くを自動化できます。
具体的には、下記のようなケースでソフトウェアロボットが活躍します。

<ソフトウェアロボットを使用した自動化の活用例>
発生インシデント システムの処置(例)
マルウェア感染 ネットワークの自動切断
マシン故障 待機系マシンへの自動切替(自動ブート)
ブルートフォース等による不正侵入の試み 通信ポート自動遮断
ウェブ改竄 コンテンツの自動復元
システムレスポンスの低下 マシンの再起動等(メールによるサーバのリモート制御)


① マルウェア感染時のネットワークの自動切断

incident-1
標的型攻撃に代表されるサイバー攻撃などにより、誰かの端末がマルウェアに感染してしまった場合、C&Cサーバへ通信ができなくなるようネットワークの遮断が必要です。
これには、各種セキュリティ製品と連携して、マルウェアの振る舞いを検知したら、該当するPCを外部から切り離すため、あらかじめソフトウェアロボットに対してNIC無効化によってネットワークを切断するような指示を与えておきます。これにより、他のマシンへの感染を抑止します。
いざ、マルウェアに感染するとそのPCの担当者はパニックになってしまったり、システム管理者からの指示が得られるまでどう対処していいのかわからなくなったりします。そうした際に、ロボットであれば、セキュリティソフトからのアラートを受けて、自動的に遮断の対処ができるため、情報漏洩など、被害が拡大することを迅速に抑えることが可能になります。
但し、実行する環境によってはその状況を判断して適切にネットワークの遮断をする必要があり、セキュリティソフトやネットワーク機器等と連動したロボットの開発が必要です。



② マシン故障時の待機系マシンへの自動切替

incident-2
クリティカルな業務に関連するサーバについては、サーバを2重に冗長化してホットスタンバイ構成をするケースもありますが、すべてのサーバを冗長化するためには、多くの投資費用が必要になります。
そのため、比較的コストを抑えられるコールドスタンバイの手法も選択できますが、その方法をとるとインシデントが発生したときは、通常は人が介入して、各サーバを待機系のシステムに切り替える必要があります。
DBサーバやアプリケーションサーバなど、多くの業務は、複数のマシンやネットワーク機器等と連動しているので、適切な手順でログオフや、シャットダウンをしてから、決められた順番に待機系の各マシンやソフトウェアを起動していく必要があります。
この時、手順を間違えると業務再開に多大な影響があるので、この切り替えをロボットに任せることはオペレーションミスもなくなり効果的です。さらに、夜間の無人オペレーションも可能となり、運用担当の指示を待ってオペレーションするより迅速に対処できるため、担当者の負荷やストレスの軽減につながります。

また、RPAを導入して夜間や休日などでも業務を稼働させている場合などは、インシデントが起こった時に別のPCに自動的に切り替えて、業務を続行させれるようにソフトウェアロボットに設定しておくことも有効な方法です。
ROBOWAREで監視用のロボットを作成すれば、WindowsのWake On LANの仕組みを利用して、ROBOWAREからMagicPacketを送信して遠隔地からの電源投入が可能なため、夜間であっても業務PCの異常を感知して、別のPCを立ち上げて業務を引き継ぐようなロボットを作ることも可能です。
(参考動画:ロボットによるPCの自動起動と制御)


③ 通信ポート自動遮断

incident-3
サイバー攻撃の中でもブルートフォースアタック等による不正侵入の試みのように、総当たりによるログイン試行を検知した場合などは、通信ポート遮断することで、ログイン試行を回避することもできます。



④ ウェブ改竄時のコンテンツの自動復元

incident-4
Tripwire Enterprise等の変更管理ソフトウェアで改竄検知された場合のアクションとして、承認済みの更新以外の改竄であると判断する条件に合致した場合は、ソフトウェアロボットで事前にバックアップしておいたデータをフォルダ単位でリストアするなどの指示をあらかじめ設定しておけば、Webコンテンツが知らないうちに改竄されることがあっても、自動的に修復できます。
この時、Web改変前のバックアップの管理をしっかりしていないと、何世代前のバックアップデータしかなかったり、バックアップデータさえも、サイバー攻撃で破壊される恐れもあります。
そのためにも、コンテンツのリストアだけでなく、バックアップについての手順も明確化し、それをロボットに指示してバックアップが取れていないというようなオペレーションミスが起こらないように、仕組みを作っておくことが大切です。


⑤ システムレスポンス低下時の再起動

incident-5
システムレスポンスの低下が見受けられた場合、RPAなどで自動化した業務は、担当者が常に稼働PCに付きっきりということは少ないため、遠隔地からそのPCを再起動させたい場合があります。
テレワークなど、外出先からでもPCやシステムを再起動させるにはロボットにメールで指示できることが有効になります。
ROBOWAREでロボット開発すれば、メール件名で、REBOOTやSHUTDOWN等の指示を行うことで、リモートからのマシン制御を実現でき、スマホなどの携帯端末からも指示してPCの再起動をすることができます。
この時、稼働中のタスクは、正常に終了させてから再起動処理が必要なため、ロボットに対して適切なエラーハンドリングのロジックを組み入れることが必須です。



RPAは、従来パターン化できる単純な定型業務が多いバックオフィスで活躍しました。それは、容易にロボット開発できる標準的なRPAツールが、複雑な処理が不得手だったことも理由です。
開発型RPAツールであるROBOWAREを使えば、複雑な処理が求められる運用管理のオペレーションについても、RPAが活躍します。
主な適用分野としては、監視ツールによるエラーを発見したときの対処をロボットに任せることにより、そのエラーを起こした部分に対するアクションと、影響を受けた業務やデータなどのリカバリ作業が自動化できます。
運用管理は、スケジューラなどのツールで自動化出来る部分もありますが、運用担当者が行なうオペレーション作業は、まだまだ自動化出来ていない部分が多いです。この部分に対しても、RPAのソフトウェアロボットを活かすことをお勧めします。

もちろんこのインシデント対応のためのロボットは、一般的な業務の定型作業を代行するRPAロボットに対する監視対応を行うこともできます。
既に他のRPAツールによって構築されたロボットに対しても、ROBOWAREは、開発型であるため独立したプログラムとして稼働することができ、種類が違うRPAツールのインシデントに対応する別のロボットを作成することが可能です。



●システムの運用オペレーションの自動化支援をご希望の方は、ぜひお問合せください。

【関連プロダクト】

roboware

人の操作を完全に自動化 - 業務自動化の切り札

ROBOWARE図

人の作業を代行するソフトウェアロボットです。
主にPC操作のUI部分をアナライザーを使って、APIで簡単に自動化します。
ロボットへの指示は、Ruby、PHP、Java、C#で開発できるため、あらゆるアプリケーションやAI、IoTなどと連携が可能です。
RPA2.0の開発の要となるソフトウェアで、様々なアプリケーションやツールとの連携や、ロボット間の連携が可能です。
PC操作を自動化する操作記録型のQuickROBOオプションもあります。

tripwire



【RPA関連ページ】
RPA
RPA
ソフトウェアロボットの作り方
AI搭載を見据えたRPAの実装方法とは?
RPA2.0を加速するソフトウェアロボット開発
RPAの盲点ITガバナンスの重要性
無人運転を実現するRPAのシステム開発
RPA2.0 実現に必要な4つの要素
セキュリテイ強化したRPAのロボット開発
RPAが必要とするログ管理とは?
RPA2.0 業務プロセス自働化
2019.02.07RPAセミナー開催報告


▼RPAに関するご相談は、お気軽にお問合せください RPA概説お問合せ
*現在、お問合せフォームより、RPA概説(総集編①~⑥)の印刷した冊子のプレゼントを受付ております。(在庫が無くなり次第終了いたします)